MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW4.4.5 Control: El análisis de riesgos de seguridad de la<br />
información debe t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta:<br />
a) el cumplimi<strong>en</strong>to de requisitos<br />
b) los objetivos de la organización<br />
c) los requisitos de clasificación de la información<br />
d) el análisis de riesgos realizado <strong>en</strong> las instalación de<br />
computación a ser evaluados<br />
e) las características del <strong>en</strong>torno operativo de la<br />
aplicación y las instalaciones de computación y de la red<br />
a ser evaluadas<br />
NW4.4.6 Control: Se deb<strong>en</strong> docum<strong>en</strong>tar los resultados del<br />
análisis de riesgos de información e incluir:<br />
a) una clara id<strong>en</strong>tificación de los principales riesgos<br />
b) una evaluación del impacto pot<strong>en</strong>cial para la empresa<br />
de cada riesgo<br />
c) las recom<strong>en</strong>daciones para las acciones requeridas<br />
para reducir los riesgos a un nivel aceptable.<br />
NW4.4.7 Control: El análisis de riesgos de información debe ser<br />
utilizado para ayudar:<br />
a) a seleccionar los controles de seguridad la<br />
información que reduzcan la probabilidad de ocurr<strong>en</strong>cia<br />
de graves incid<strong>en</strong>tes de seguridad de la información<br />
b) a seleccionar los controles de seguridad de la<br />
información que satisfagan los requisitos de<br />
cumplimi<strong>en</strong>to<br />
c) a determinar los costos de la aplicación de controles<br />
de seguridad<br />
d) a evaluar las fortalezas y debilidades de los controles<br />
de seguridad<br />
e) a id<strong>en</strong>tificar los controles de seguridad especializados<br />
requeridos por la red<br />
NW4.4.8 Control: Los resultados del análisis de riesgos de<br />
información deberían ser:<br />
a) comunicados al dueño de la red y a la dirección<br />
b) aprobados por un repres<strong>en</strong>tante del negocio<br />
NW4.4.9 Control: El análisis de riesgos de Información de la red<br />
debe realizarse periódicam<strong>en</strong>te y antes de introducir<br />
cambios importantes <strong>en</strong> la red<br />
NW4.5 Revisiones de auditoria de<br />
seguridad<br />
NW4.5.1 Control: Las auditorias y revisiones de seguridad de la<br />
red deb<strong>en</strong> ser indep<strong>en</strong>di<strong>en</strong>tes y realizarse<br />
periódicam<strong>en</strong>te<br />
NW4.5.2 Control: Las auditorias y revisiones de seguridad de la<br />
red deb<strong>en</strong>:<br />
a) evaluar los riesgos de negocio asociados con la red<br />
b) considerar los requisitos de seguridad de la<br />
información de las aplicaciones de negocios soportados<br />
por la red<br />
Página 193 de 207